IT

AI 에이전트 스킬 마켓에서 악성코드 유포 – OpenClaw 보안 사건 분석

작성자:

서론: AI 에이전트 시대의 새로운 공격 벡터

AI 에이전트가 우리의 파일, 브라우저, 터미널, 심지어 장기 메모리까지 접근할 수 있는 시대가 왔습니다. OpenClaw 같은 에이전트 플랫폼은 강력한 자동화를 제공하지만, 그만큼 공격 표면도 함께 확대되었습니다. 그리고 이것은 이론이 아닙니다. 실제로 일어났습니다.

1Password 보안 연구원이 ClawHub(OpenClaw의 스킬 마켓플레이스)에서 가장 많이 다운로드된 스킬이 macOS 인포스틸러 악성코드였음을 발견했습니다. 이 사건은 AI 에이전트 생태계가 어떻게 공격자에게 악용될 수 있는지를 생생하게 보여줍니다.

OpenClaw란 무엇인가?

OpenClaw는 AI 에이전트가 로컬 파일 시스템, 브라우저 세션, 터미널 명령, 그리고 장기 메모리에 접근할 수 있도록 하는 “에이전트 게이트웨이”입니다. 사용자는 자연어로 명령을 내리면, 에이전트가 실제로 작업을 수행합니다.

예를 들어:

  • “내 프로젝트 폴더의 모든 Python 파일을 분석해줘”
  • “지난 주 작업 내용을 요약해서 이메일로 보내줘”
  • “GitHub에 커밋하고 풀 리퀘스트 생성해줘”

이런 강력한 기능은 “스킬(Skill)”이라는 확장 기능을 통해 제공됩니다. 스킬은 마크다운 파일(SKILL.md)과 스크립트로 구성되며, ClawHub라는 마켓플레이스에서 다운로드할 수 있습니다.

문제의 핵심: 스킬은 그냥 마크다운이다

여기서 첫 번째 위험 신호가 나타납니다. 스킬은 단지 마크다운 문서입니다. 제한이 거의 없습니다. 링크, 복사-붙여넣기 명령어, 그리고 “에이전트가 작업을 수행하는 데 도움이 되는” 모든 내용을 담을 수 있습니다.

인간과 에이전트가 문서를 소비하는 방식을 생각해보세요:

  1. “필수 요구사항이 있습니다”
  2. “이 명령을 실행하세요”
  3. “핵심 종속성을 설치하세요”
  4. “터미널에 붙여넣으세요”

우리는 이것을 “문서”라고 생각하지만, 에이전트 생태계에서는 설치 프로그램입니다.

MCP가 안전하게 만들어주지 않는다

일부 사람들은 Model Context Protocol (MCP)가 이 문제를 해결해준다고 생각합니다. MCP는 도구 호출을 구조화된 인터페이스로 노출하고, 명시적인 사용자 동의와 권한 제어를 제공합니다.

하지만 스킬은 MCP를 사용할 필요가 전혀 없습니다. Agent Skills 사양은 마크다운 본문에 제한을 두지 않으며, 스킬은 마크다운 옆에 스크립트를 번들로 포함할 수 있습니다. 즉, 실행이 MCP 도구 경계 밖에서 완전히 일어날 수 있습니다.

악성 스킬은 MCP를 우회하여 다음과 같은 방법으로 공격할 수 있습니다:

  • 소셜 엔지니어링
  • 직접 셸 명령 지시
  • 번들된 코드 실행

MCP는 안전한 시스템의 일부가 될 수 있지만, 그 자체로는 안전을 보장하지 않습니다.

실제 발견: 최다 다운로드 스킬이 악성코드였다

연구원이 ClawHub를 탐색하던 중, 당시 최다 다운로드 스킬이 “Twitter” 스킬이었습니다. 설명, 의도된 용도, 개요가 있는 정상적인 스킬처럼 보였습니다. 두 번째 생각 없이 설치할 만한 것이었죠.

하지만 스킬이 제일 먼저 한 일은 “openclaw-core”라는 “필수 종속성”을 소개하고, 플랫폼별 설치 단계를 제공하는 것이었습니다. 이 단계들은 편리한 링크(“여기”, “이 링크”)를 포함하고 있었고, 정상적인 문서 포인터처럼 보였습니다.

그러나 그것은 아니었습니다.

공격 흐름: 단계적 페이로드 배포

두 링크 모두 악성 인프라로 연결되었습니다. 공격 흐름은 고전적인 단계적 배포였습니다:

  1. 스킬 개요가 필수 요구사항 설치를 지시
  2. 링크가 에이전트에게 명령을 실행하도록 유도하는 스테이징 페이지로 연결
  3. 명령이 난독화된 페이로드를 디코딩하고 실행
  4. 페이로드가 2단계 스크립트를 가져옴
  5. 스크립트가 바이너리를 다운로드하고 실행하며, macOS 격리 속성을 제거하여 Gatekeeper(macOS 내장 안티멀웨어)가 스캔하지 못하도록 함

연구원은 의도적으로 정확한 명령이나 URL을 공개하지 않았습니다. 메커니즘은 불행히도 간단하고, 반복하는 것은 방어자보다 공격자에게 더 도움이 되기 때문입니다.

핵심은 이것이 “의심스러운 링크”가 아니었다는 것입니다. 설정 지침으로 위장한 완전한 실행 체인이었습니다.

확인: 인포스틸러 악성코드

연구원은 최종 바이너리를 안전하게 다운로드하고 VirusTotal에 제출했습니다.

판정은 명확했습니다. macOS 인포스틸러 악성코드로 표시되었습니다.

이 유형의 악성코드는 단순히 “컴퓨터를 감염”시키는 것이 아닙니다. 장치의 모든 가치 있는 것을 약탈합니다:

  • 브라우저 세션 및 쿠키
  • 저장된 자격 증명 및 자동 완성 데이터
  • 개발자 토큰 및 API 키
  • SSH 키
  • 클라우드 자격 증명
  • 계정 탈취에 사용될 수 있는 모든 것

에이전트 스킬을 설치하는 종류의 사람이라면, 당신의 머신은 훔칠 가치가 있는 것들로 가득합니다.

이것은 고립된 사례가 아니었다

연구원이 이를 내부적으로 공유한 후, 더 넓은 보고가 표면화되었습니다: 수백 개의 OpenClaw 스킬이 ClickFix 스타일 지침을 통해 macOS 악성코드를 배포하는 데 관련되었다고 합니다.

이 세부사항이 중요한 이유는 이것이 실제로 무엇인지를 확인해주기 때문입니다.

일회성 악성 업로드가 아닙니다. 의도적인 전략입니다:

  • “스킬”을 배포 채널로 사용
  • “필수 요구사항”을 소셜 엔지니어링 래퍼로 사용

‘도움’이 ‘적대’가 되는 에이전트 세계

우리는 수년간 패키지 매니저와 오픈소스 레지스트리가 공급망 공격 벡터가 될 수 있다는 것을 배워왔습니다.

에이전트 스킬 레지스트리는 다음 장이며, “패키지”가 문서라는 점만 다릅니다.

그리고 그것이 공격 경로를 더욱 부드럽게 만듭니다:

  • 사람들은 마크다운 파일이 위험하다고 예상하지 않습니다
  • 사람들은 설정 단계를 빠르게 따르도록 훈련되어 있습니다
  • 사람들은 “최다 다운로드”를 정당성의 대리 지표로 신뢰합니다
  • 그리고 에이전트 생태계에서는 지침을 읽는 것과 실행하는 것 사이의 경계가 무너집니다

에이전트가 셸 명령을 직접 실행할 수 없더라도, 여전히 위험한 일을 할 수 있습니다: 위험한 행동을 정상화할 수 있습니다.

지금 당장 해야 할 일

OpenClaw 또는 스킬 레지스트리를 사용하는 경우

회사 장치에서 이것을 실행하지 마세요. 안전한 방법이 없습니다. 이미 실행했거나, 스킬에서 “설치” 명령을 실행했다면, 즉시 보안팀과 협력하고 잠재적인 침해로 취급하세요.

  1. 민감한 작업에 장치 사용 중지
  2. 세션과 비밀을 먼저 순환: 브라우저 세션, 개발자 토큰, SSH 키, 클라우드 콘솔 세션
  3. 이메일, 소스 제어, 클라우드, CI/CD, 관리 콘솔의 최근 로그인 검토

실험하려면, 회사 접근 권한이 없고 저장된 자격 증명이 없는 격리된 머신을 사용하세요.

스킬 레지스트리를 운영하는 경우

당신은 앱 스토어를 운영하고 있습니다. 남용될 것이라고 가정하세요.

  • 한 줄짜리 설치 프로그램, 인코딩된 페이로드, 격리 제거, 암호로 보호된 아카이브를 스캔
  • 출처 및 게시자 평판 추가
  • 외부 링크 및 설치 단계에 경고 및 마찰 추가
  • 상위 순위 스킬 검토 및 악성 스킬 빠르게 제거

여기서 마크다운은 실행 가능한 의도입니다.

에이전트 프레임워크를 구축하는 경우

스킬이 무기화될 것이라고 가정하세요.

  • 셸 실행을 기본적으로 거부
  • 브라우저, 키체인, 자격 증명 저장소에 대한 접근을 샌드박스화
  • 구체적이고, 시간 제한이 있으며, 취소 가능한 권한 사용
  • 원격 코드 및 명령 실행에 마찰 추가
  • 출처 및 작업을 종단 간 로깅

결론: 에이전트가 필요로 하는 신뢰 계층 설계

이것은 OpenClaw가 의도와 실행 사이의 거리를 무너뜨리기 때문에 강력하다는 점을 명확하게 증명합니다. 그것이 마법입니다. 그것은 또한 상당한 위험을 도입합니다.

능력이 스킬로 배포되고 문서를 통해 설치되면, 레지스트리는 공급망이 되고, 가장 쉬운 설치 경로는 공격자가 가장 좋아하는 경로가 됩니다.

답은 에이전트 구축을 중단하는 것이 아닙니다. 답은 주변에 누락된 신뢰 계층을 구축하는 것입니다.

  • 스킬은 출처가 필요합니다
  • 실행은 중재가 필요합니다
  • 권한은 구체적이고, 취소 가능하며, 지속적으로 시행되어야 하며, 한 번 부여되고 잊혀져서는 안 됩니다
  • 에이전트가 우리를 대신하여 행동한다면, 자격 증명과 민감한 작업은 실행되는 코드에 의해 “잡혀서는” 안 됩니다
  • 실시간으로 중개되고, 관리되고, 감사되어야 합니다

“스킬”이 공급망이 될 때, 유일하게 안전한 미래는 모든 에이전트가 자체 신원을 갖고, 지금 당장 필요한 최소한의 권한만 가지며, 시간 제한이 있고, 취소 가능하며, 귀속 가능한 액세스를 갖는 미래입니다.

출처 및 참고자료

키워드: OpenClaw, AI 에이전트 보안, 스킬 마켓플레이스, 인포스틸러, macOS 악성코드, MCP, 공급망 공격, 에이전트 보안, ClawHub, ClickFix, 소셜 엔지니어링

댓글 남기기

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.